حمله هکر‌های دولتی ایرانی به چهره‌های کلیدی روزنامه‌نگاری و سیاسی

اخبار داغ فناوری اطلاعات و امنیت شبکه

takian.ir iranian state hackers targeting key figures 1
بنا بر ادعای خبرگزاری‌های خارجی، هکر‌هایی که با دولت ایران ارتباط دارند با یک کمپین مهندسی اجتماعی و فیشینگ اعتبارنامه در حال انجام اقدامات مجرمانه سایبری علیه فعالان حقوق بشر، روزنامه‌نگاران، محققان، دانشگاهیان، دیپلمات‌ها و سیاستمدارانی که در خاورمیانه کار می‌کنند، هستند.

دیده‌بان حقوق بشر (HRW) در گزارشی که روز دوشنبه منتشر شد، گفت که گمان می‌رود حداقل ٢٠ فرد هدف قرار‌گرفته باشند و این فعالیت مخرب را به یک گروه که با نام APT42 رد‌یابی می‌شود، نسبت می‌دهد، که به داشتن همپوشانی با Charming Kitten (معروف به APT35 یا Phosphorus) معروف است.

این کمپین منجر به‌به خطر افتادن ایمیل و سایر داده‌های حساس متعلق به سه مورد از اهداف شد. این شامل خبرنگار یک روزنامه بزرگ ایالات متحده، یک مدافع حقوق زنان مستقر در منطقه خلیج فارس، و نیکلاس نوئه، مشاور حمایت از پناهندگان بین‌المللی در لبنان بود.

نفوذ دیجیتالی مستلزم دسترسی به ایمیل‌ها، فضای ذخیره‌سازی ابری، تقویم‌ها و مخاطبین آنها و همچنین استخراج کل داده‌های مرتبط با حساب‌های Google آنها در قالب فایل‌های بایگانی از طریق Google Takeout بود.

ابیر غطاس، مدیر امنیت اطلاعات در دیده‌بان حقوق بشر، ادعا کرد : «هکر‌های تحت حمایت دولت ایران به‌شدت از مهندسی اجتماعی پیچیده و تاکتیک‌های جمع‌آوری اعتبارنامه برای دسترسی به اطلاعات حساس و تماس‌های پژوهشگران متمرکز خاورمیانه و گروه‌های جامعه مدنی استفاده می‌کنند».

زنجیره آلودگی با دریافت پیام‌های مشکوک در واتس‌اپ به بهانه دعوت از آنها به یک کنفرانس و فریب دادن قربانیان به کلیک کردن روی یک URL مخرب که مخصوص جعل هویت صفحات ورود مایکروسافت، گوگل و یاهو ساخته شده است آغاز می‌شود که اعتبارنامه را ذخیره می‌کند.

این صفحات فیشینگ همچنین قادر به سازماندهی حملات Adversary-in-the-middle (AiTM) هستند، در نتیجه امکان نفوذ به‌حساب‌هایی را که با احراز هویت دو مرحله‌ای (2FA) غیر از یک کلید امنیتی سخت‌افزاری ایمن شده‌اند، ممکن می‌سازند.

این سازمان غیردولتی بین‌المللی اعلام کرد که ١۵ نفر از افراد برجسته مورد هدف تایید شده‌اند که پیام‌های مشابه واتس‌اپ را بین ١۵ سپتامبر تا ٢۵ نوامبر ٢٠٢٢ دریافت کرده‌اند.

takian.ir iranian state hackers targeting key figures 2

مجموعه HRW همچنین به نارسایی‌های محافظت‌های امنیتی Google اشاره کرد و اظهار داشت که قربانیان حمله فیشینگ "نمی‌دانستند که حساب‌های جی‌میل آن‌ها در معرض خطر قرار‌گرفته است یا Google Takeout شروع شده است، تا حدی به این دلیل که هشدار‌های امنیتی تحت فعالیت حساب Google هیچ پیغام یا نمایش دائمی اعلان در صندوق ورودی یک کاربر یا ارسال یک پیام فشاری به برنامه Gmail در تلفن او ندارند. "

گزینه درخواست داده از Google Takeout با یک برنامه مبتنی بر دات‌نت به نام HYPERSCRAPE که برای اولین‌بار توسط گروه تجزیه‌و‌تحلیل تهدیدات Google (TAG) در اوایل ماه اوت ثبت شد، مطابقت دارد، اگرچه HRW اعلام کرد نمی‌تواند تایید کند که آیا این ابزار واقعا در این مورد حادثه خاص استفاده شده است یا خیر.

انتساب به APT42 بر اساس همپوشانی سورس کد صفحه فیشینگ با یک صفحه ثبت جعلی دیگر است که به نوبه خود با یک حمله سرقت اعتبارنامه مرتبط است که توسط یک عامل سایبری به نام Iran-nexus (معروف به TAG-56) علیه اندیشکده بی‌نام ایالات متحده، انجام گرفته است.

مجموعه Recorded Future در اواخر ماه گذشته فاش کرد : "فعالیت تهدید به احتمال زیاد نشان‌دهنده یک کمپین گسترده‌تر است که از کوتاه‌کننده‌های URL برای هدایت قربانیان به صفحات مخربی که در آن اعتبارنامه‌ها به سرقت می‌رود، استفاده می‌کند. این وسیله تجاری در میان گروه‌های تهدید دائمی پیشرفته (APT) ایران-نکسوس  مانند APT42 و Phosphorus رایج است. "

علاوه بر این، همان سورس کد به دامین دیگری متصل شده است که به‌عنوان بخشی از یک حمله مهندسی اجتماعی منتسب به گروه Charming Kitten استفاده شده و توسط Google TAG در اکتبر ۲۰۲۱ مختل و غیرفعال شده است.

بنا بر ادعا‌های Mandiant : "لازم به ذکر است که علیرغم پیوند‌های APT35 و APT42 با سپاه پاسداران انقلاب اسلامی، سپاه پاسداران انقلاب اسلامی بیشتر به سمت افراد و نهاد‌ها برای اهداف "سیاست داخلی، سیاست خارجی و ثبات رژیم" طراحی شده است. "

غطاس گفت : «در منطقه خاورمیانه که مملو از تهدید‌های نظارتی برای فعالان است، برای محققان امنیت دیجیتال ضروری است که نه‌تنها یافته‌ها را منتشر و تبلیغ کنند، بلکه حفاظت از فعالان منطقه، روزنامه‌نگاران و رهبران جامعه مدنی را نیز در اولویت قرار دهند».

برچسب ها: URL Shortener, ایران-نکسوس, TAG-56, Iran-nexus, AiTM, Adversary-in-the-middle, HRW, دیده‌بان حقوق بشر, APT42, Google Takeout, یاهو, Source Code, Phosphorus, سپاه پاسداران انقلاب اسلامی, Credential, خدمات ابری, Yahoo, TAG, Iran, اعتبارنامه, واتساپ, APT, Email, Social Engineering, Microsoft, مهندسی اجتماعی, ایران, Gmail , phishing, 2FA, ایمیل, Charming Kitten, APT35, دفاع سایبری, Cyber Security, WhatsApp, مایکروسافت, فیشینگ, امنیت سایبری, Cyber Attacks, حمله سایبری, news

نوشته شده توسط تیم خبر.

چاپ